Boletín semanal de Ciberseguridad, 6 – 12 de mayo

Actualizaciones de seguridad en productos Fortinet

Fortinet ha anunciado un conjunto de actualizaciones de seguridad que corrigen hasta un total de 9 vulnerabilidades, 2 de las cuales son consideradas de alta gravedad y afectan a FortiADC, FortiOS y FortiProx.

Por una parte, se encuentra el fallo de seguridad registrado como CVE-2023-27999 que afecta a las versiones 7.2.0, 7.1.1 y 7.1.0 de FortiADC. Un actor malicioso podría aprovechar este error a través de argumentos elaborados para los comandos existentes, lo que les permitiría ejecutar comandos no autorizados.

Por otra parte, se encuentra la vulnerabilidad CVE-2023-22640, que surge de un error en el componente sslvpnd de las versiones 7.2.x, 7.0.x, 6.4.x, 6.2.x y 6.0.x de FortiOS y en las versiones 7.2.x, 7.0.x, 2.0.x y 1.xx de FortiProxy. En concreto, este error permite que un atacante autenticado envíe solicitudes especialmente diseñadas con el objetivo de realizar una ejecución de código arbitrario.

Desde Fortinet se recomienda actualizar los activos a la última versión disponible para corregir dichos fallos.

Más info → 

​Intel investiga fuga de claves privadas tras incidente de MSI

Recientemente, la compañía MSI confirmaba una brecha de datos sufrida en un incidente de seguridad que habría ocasionado la filtración de claves privadas afectando a numerosos dispositivos.

A raíz de estos hechos, la compañía Intel está investigando una posible filtración de las claves privadas de Intel Boot Guard. Este activo se trata de una función de seguridad que protege el proceso de arranque del sistema operativo en los procesadores de Intel.

En base a ello, actores maliciosos, mediante dicha filtración podrían desactivar la protección de Boot Guard en los sistemas afectados, lo que les permitiría insertar software malicioso en el proceso de arranque. El equipo de investigadores de Binarly han publicado una lista con el hardware de la compañía MSI afectado.

Más info →

Patch Tuesday de Microsoft incluye vulnerabilidades 0-day explotadas activamente

En su última actualización de seguridad, Microsoft ha corregido un total de 38 vulnerabilidades que afectan a varios de sus productos entre los que se encuentran afectados Microsoft Windows, SharePoint u Office y de las cuales 6 han sido categorizadas como críticas y 32 como importantes.

Entre todas ellas, destacan tres vulnerabilidades 0-day, de las cuales dos están siendo activamente explotadas. En concreto, se trata de las registradas como CVE-2023-29336, CVSSv3 de 7.8 según fabricante, siendo un fallo en el kernel Win32k que podría ser aprovechada por actores maliciosos con el objetivo de obtener privilegios de SYSTEM.

Por otra parte, el fallo de seguridad registrado como CVE-2023-24932, CVSSv3 de 6.7 según fabricante, se trata de un fallo de omisión en el modo de arranque seguro que podría ser utilizado para instalar el software malicioso BlackLotus UEFI.

En último lugar, cabe reseñar la última de las vulnerabilidades 0-day catalogada como CVE-2023-29325, CVSSv3 de 8.1 según fabricante, que si bien no ha sido activamente explotada se trata de una falla de seguridad en Windows OLE de Microsoft Outlook que puede explotarse mediante correos electrónicos especialmente diseñados y desencadenar en una ejecución de código remoto.

Más info →

SAP corrige 28 vulnerabilidades en su patch day de mayo

SAP ha publicado 24 notas de seguridad, entre las que se incluyen un total de 28 vulnerabilidades, dos  notas clasificadas como críticas y nueve de alta prioridad. En cuanto a la nota nº 3328495 considerada crítica al ser calificada con una puntuación CVSS de 9.8, corrige cinco vulnerabilidades en la versión 14.2 del componente Reprise License Manager (RLM) utilizado con SAP 3D Visual Enterprise License Manager.

Por un lado, la identificada como CVE-2021-44151, permitiría a un atacante secuestrar la sesión a través de fuerza bruta. Por otro lado, la clasificada como CVE-2021-44152, podría derivar a que un usuario no autenticado cambie la contraseña de cualquier usuario, obteniendo acceso a su cuenta.

La CVE-2021-44153 podría ser explotada para ejecutar un binario malicioso. La CVE-2021-44154, por su parte, podría causar un desbordamiento de búfer. Finalmente, la identificada como CVE-2021-44155, permitiría a un atacante enumerar usuarios válidos. Se recomienda actualizar SAP 3D Visual Entreprise License Manager a la v ersión 15.0.1-sap2, además de deshabilitar la interfaz web de RLM. En último lugar, la nº 3307833, con CVSS 9.1, incluye correcciones de fallos de divulgación de información para SAP BusinessObjects Business Intelligence Platform.

Más info →

Nuevos detalles acerca de la distribución de Amadey y Redline Stealer

McAfee Labs ha publicado un análisis acerca del ejecutable malicioso con el que se distribuyen varios tipos de malware como Amadey y Redline Stealer.

Su nombre original es wextract.exe.mui y, dentro de este, se encuentra un archivo CAB, que contiene un atributo denominado RUNPROGRAM, utilizado para iniciar cydn.exe, el cual contiene otros dos ejecutables, aydx.exe y mika.exe, que son desplegados como malware.

Por otro lado, hay otro atributo, POSTRUNPROGRAM, que contiene una instrucción para ejecutar vona.exe. Todos estos ejecutables se ubican en la carpeta TEMP como archivos temporales, y se vinculan, junto con otros ejecutables de sus procesos secundarios con Redline Stealer y Amadey, además de desactivar los mecanismos de seguridad.

Más info →

Foto de apertura: Freepik.